Ticketmaster Hack因违反安全和隐私规定而被罚款170万美元

票务主管被罚款

图片来源:Claudio Schwarz

由于违反了欧盟的GDPR法律,英国的Ticketmaster大规模遭到黑客入侵,导致罚款170万美元。

监管机构表示,Ticketmaster UK无法在付款页面上确保其网站聊天机器人的安全。攻击者随后破坏了聊天机器人,使他们能够从毫无戒心的演唱会参与者那里窃取付款信息​​。接到警报后 欺诈追溯到其网站,Ticketmaster UK九个星期没有解决此问题。

在此事件之后,英国信息专员办公室(ICO)宣布了125万英镑(合1.7百万美元)的罚款。 ICO负责执行英国的通用数据保护条例(GDPR)。 Ticketmaster UK表示计划对该裁决提出上诉。

ICO于2018年6月开始调查,并称Ticketmaster因其安全故障在2018年5月之后被罚款。

ICO说,它的调查是在离开欧盟之前在英国完成的。它是欧盟的监督机构,罚款“代表了欧洲所有数据保护机构的共识性决定。” ICO调查的违规行为始于2018年2月。

黑客能够访问个人详细信息,包括姓名,支付卡详细信息,到期日期以及940万欧洲Ticketmaster客户的完整CVV号码。数据泄露影响了150万英国客户。

除此之外,至少有6万张巴克莱银行卡与来自Ticketmaster UK数据泄露的欺诈行为有关。在检测到欺诈性使用迹象后,Monzo Bank更换了大约6,000张银行卡。在英国以外的其他英联邦国家(即澳大利亚和新西兰),也有一些被盗用的帐户。安全专家说,名为Magecart的组织能够在Ticketmaster的网站上注入代码以收集付款信息。

监管机构认为,Ticketmaster无法保护JavaScript聊天软件违反了GDPR。即使在Ticketmaster UK收到有关违规的通知后,它也没有及时做出回应。

“当顾客交出他们的个人资料时,他们希望Ticketmaster会照顾他们。但是他们没有。” ICO副局长詹姆斯·迪普尔-约翰斯顿(James Dipple-Johnstone)说。 “票务长应该做得更多,以减少风险。它没有这样做,意味着英国和欧洲的数百万人面临着潜在的欺诈行为。”

Ticketmaster UK有 没有回应 罚款,但确实向ICO提供了书面声明。在该声明中,Ticketmaster将数据泄露归咎于第三方承包商,并表示计划对罚款提出上诉。第三方Ticketmaster UK责备的Inbenta Technologies说,Ticketmaster应该永远不会在安全的付款页面上实施其软件。

Inbenta Technologies首席执行官乔迪·托拉斯(Jordi Torras)在谈到此案时说:“如果我们知道定制脚本是通过这种方式使用的,我们会建议不要这样做,因为它会带来更大的漏洞风险。”